INSTITUTO DE LA PEQUEÑA Y MEDIANA INDUSTRIA DE LA GENERALITAT VALENCIANA (IMPIVA) Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 1. OBJETIVOS Y ALCANCE DE LA FISCALIZACIÓN 1.1 Objetivos En virtud de lo dispuesto en el artículo 8.3 de la Ley de la Generalitat Valenciana 6/1985, de 11 de mayo de Sindicatura de Comptes, y de conformidad con lo previsto en el Programa Anual de Actuación de 2008, la fiscalización efectuada ha tenido por objeto determinar si los Gastos por subvenciones concedidas registrados en las cuentas anuales del ejercicio 2007 del Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana (IMPIVA) se presentan adecuadamente, de acuerdo con los principios contables aplicables, así como verificar el cumplimiento de la legalidad vigente en la gestión de los fondos públicos durante el citado ejercicio en relación al área fiscalizada. Asimismo, y con carácter preferente, la fiscalización ha consistido en la revisión y evaluación del sistema de gestión y control interno de gastos por subvenciones, con especial énfasis en la revisión de los sistemas de información, señalándose en los diferentes apartados de este Informe aquellas situaciones que deberán ser objeto de atención y mejora por parte de los órganos responsables de la Entidad. 1.2 Alcance y procedimientos de la fiscalización 1.2.1 Revisión financiera Las cuentas anuales del IMPIVA están formadas por el balance a 31 de diciembre de 2007, la cuenta de pérdidas y ganancias y la memoria correspondientes al ejercicio terminado en dicha fecha y se adjuntan íntegramente, junto con el informe de auditoría, en el Anexo de este Informe. Estas cuentas fueron formuladas por el director general del IMPIVA con fecha 30 de marzo de 2008, aprobadas por el Comité de Dirección con fecha 25 de junio de 2008 y presentadas a esta Sindicatura de Comptes por la Intervención General de la Generalitat (IGG), conforme a la normativa de aplicación, el 27 de junio de 2008, junto con el informe de auditoría. El citado informe de auditoría es el resultado de la auditoría de cuentas anuales que, atendiendo a lo establecido en la Ley de Hacienda Pública de la Generalitat Valenciana, realiza la IGG con la colaboración de una firma privada de auditoría. En este informe se emite una opinión sin salvedades. Conforme a los objetivos descritos en el apartado 1.1, la fiscalización efectuada ha consistido en comprobar la adecuada contabilización de los gastos por subvenciones concedidas registrados por el IMPIVA en el ejercicio 2007, así como los procedimientos de gestión y control interno de aplicación a estos gastos, con especial énfasis en los sistemas informáticos, y en comprobar la adecuada formalización y presentación de las cuentas anuales. - 497 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana Asimismo, hemos comprobado el grado de aceptación e implantación de las recomendaciones efectuadas en el Informe de fiscalización del ejercicio 2006. De acuerdo con lo anterior, se han efectuado las pruebas de auditoría financiera que se han considerado pertinentes de conformidad con los “Principios y normas de auditoría del sector público”, elaborados por la Comisión de Coordinación de los Órganos Públicos de Control Externo del Estado Español y con las “Directrices técnicas de fiscalización” aprobadas por el Consell de la Sindicatura de Comptes. Estos procedimientos han consistido en la realización de pruebas selectivas, revisión del control interno y demás técnicas de auditoría que han sido de aplicación en este caso, considerando los objetivos perseguidos y el alcance anteriormente señalado. 1.2.2 Revisión del cumplimiento de la legalidad Conforme a los objetivos de la fiscalización señalados en el apartado 1.1, y con el enfoque descrito en el apartado 1.2.1, hemos revisado el cumplimiento, por parte del Instituto, de la legalidad vigente en la gestión de los fondos públicos en relación a la concesión de subvenciones durante el ejercicio terminado el 31 de diciembre de 2007, así como la adecuada formalización y presentación de las cuentas anuales. Dicha revisión ha consistido en la verificación, mediante pruebas selectivas, del cumplimiento de los aspectos relevantes establecidos fundamentalmente en: - Ley 11/2006, de 27 de diciembre, de Presupuestos de la Generalitat para 2007. - Ley 10/2006, de 26 de diciembre, de Medidas Fiscales, de Gestión Financiera y Administrativa, y de Organización de la Generalitat. - Ley de Hacienda Pública de la Generalitat Valenciana, Texto Refundido aprobado por Decreto Legislativo de 26 de junio de 1991 del Consell de la Generalitat. - Ley de la Generalitat Valenciana 2/1984, de 10 de mayo, del Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana. - Decreto 111/2004, de 2 de julio, del Consell de la Generalitat por el que se aprueba el Reglamento del IMPIVA. - Ley 38/2003, de 17 de noviembre, General de Subvenciones. - Real Decreto 1.643/1990, de 20 de diciembre, por el que se aprueba el Plan General de Contabilidad. - Decreto 204/1990, de 26 de diciembre, del Consell de la Generalitat, sobre reintegro de transferencias corrientes y de capital. - Resolución de 30 noviembre de 2001, de la Intervención General de la Generalitat Valenciana, aclaratoria del régimen de contabilidad y rendición de cuentas al que están sujetas las entidades de la Generalitat Valenciana y las universidades públicas de la Comunidad Valenciana. - 498 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana - Resolución de 18 de junio de 1991, de la Intervención General de la Generalitat Valenciana, por la que se aprueba la información a rendir por las empresas públicas. - Orden de 12 de diciembre de 2006, de la conselleria de Empresa, Universidad y Ciencia, sobre concesión de ayudas por el Instituto de la Pequeña y Mediana Industria de la Generalitat - Resolución de 29 de diciembre de 2006, del presidente del Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana (IMPIVA), por el que se convocan las ayudas dirigidas a los Institutos Tecnológicos de la red IMPIVA para el ejercicio 2007. 1.2.3 Revisión del área de sistemas de información El alcance de la presente revisión ha comprendido el análisis de los sistemas de información del IMPIVA que soportan los servicios de tramitación de expedientes de subvención desde la recepción de la solicitud hasta el pago de la ayuda. La auditoria se ha centrado especialmente en las aplicaciones sobre las cuales se lleva a cabo la tramitación de los expedientes de subvenciones denominadas “Gustavo” y “Ulises”. Mediante el seguimiento del flujo de información que genera la gestión a través de esas aplicaciones, se ha identificado y evaluado los principales riesgos en cada fase de tramitación y se ha analizado los controles automáticos embebidos en las aplicaciones para mitigar los riesgos existentes. El objetivo ha sido determinar el nivel de control de dichas aplicaciones para garantizar la correcta tramitación de los expedientes, mitigando el riesgo de errores e irregularidades y garantizando la integridad y confidencialidad de la información. Por otro lado, puesto que dichas aplicaciones están soportadas por los sistemas de información del IMPIVA, la auditoría asimismo ha comprendido el análisis de los controles generales del entorno de las tecnologías de información de la Entidad. No obstante, dadas las inherentes limitaciones de cualquier control interno y, en concreto, de los que la organización del área de sistemas del IMPIVA tiene implantados, pueden existir hechos motivados por errores o irregularidades que no hayan sido detectados en la revisión efectuada. El trabajo se ha llevado a cabo por personal especializado de la Sindicatura de Comptes, con la colaboración de expertos independientes externos, de acuerdo con las siguientes normas de auditoría: - Norma Técnica de Auditoría sobre “la auditoría de cuentas en entornos informatizados”, aprobada por Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas. - Los Principios y normas de auditoría de sistemas de información emitidos por la Asociación para la Auditoría y Control de los Sistemas de Información (ISACA). - 499 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 2. CONCLUSIONES GENERALES 2.1 Revisión financiera Como resultado del trabajo efectuado, con el alcance señalado en el apartado 1.2.1, no se han puesto de manifiesto hechos o circunstancias que afecten de forma significativa a la adecuación del epígrafe Subvenciones concedidas de la cuenta de pérdidas y ganancias a los principios contables de aplicación. 2.2 Revisión del cumplimiento de la legalidad Como resultado del trabajo efectuado, con el alcance señalado en el apartado 1.2.2, no se han detectado durante el ejercicio 2007 incumplimientos significativos de la normativa aplicable a la gestión de los fondos públicos, en relación al área fiscalizada. 2.3 Revisión del área de sistemas de información La revisión llevada a cabo, con el alcance señalado en el apartado 1.2.3, sobre la organización y funcionamiento del área de sistemas de información del IMPIVA y la situación de los controles generales existentes en la organización, cuya responsabilidad corresponde a los órganos de dirección del IMPIVA, ha puesto de manifiesto que el ambiente de control existente sobre los sistemas de información y sus procesos de gestión, aporta un nivel de confianza razonable sobre el proceso de generación de la información financiera dentro de los ciclos de negocio; garantiza la integridad, disponibilidad y confidencialidad de la información; y que los objetivos del área de sistemas se encuentran alineados con los objetivos generales de la Entidad, gestionándose los recursos de forma eficiente. No obstante lo anterior, en el apartado 5 del presente informe se destacan los hechos y circunstancias observados cuya persistencia podría afectar a la fiabilidad y seguridad de los sistemas de información del IMPIVA. - 500 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 3. INFORMACIÓN GENERAL 3.1 Naturaleza y objeto El IMPIVA se crea por la Ley de la Generalitat 2/1984, de 10 de mayo. Es una entidad de derecho público de las previstas en el artículo 5.2 de la Ley de Hacienda Pública, que ajustará sus actividades al ordenamiento jurídico privado salvo en lo que sea de aplicación la citada Ley. El IMPIVA tiene por objeto el impulso y ejecución de la política de la Generalitat en relación con la pequeña y mediana empresa industrial. Dentro de este marco será objetivo fundamental del Instituto la promoción de la innovación, impulsando el desarrollo y mejora de la mediana y pequeña empresa industrial valenciana. Su reglamento se aprobó mediante el Decreto 111/2004, de 2 de julio, del Consell. Los órganos del Instituto según su reglamento son: el Presidente, el Vicepresidente, el Comité de Dirección y el director general. El Consejo Asesor será el órgano consultivo y asesor. Depende de la Conselleria de Industria, Comercio e Innovación. 3.2 Actividad desarrollada en el ejercicio Las actividades realizadas durante el año, de acuerdo con la memoria de sus cuentas anuales, han tenido como un criterio preferente la ejecución de los planes de competitividad para los principales sectores consolidados y emergentes de la Comunitat. Un segundo criterio ha sido la puesta en marcha de medidas dirigidas a potenciar la capacidad de investigación y el desarrollo tecnológico de las empresas y a estimular la investigación orientada a proporcionar soluciones tecnológicas de interés para el sistema productivo de la Comunitat Valenciana. Finalmente, un tercer criterio ha sido impulsar actuaciones de apoyo a emprendedores, potenciar la creación de empresas con una base tecnológica relevante y desarrollar instrumentos de prospectiva de nuevas oportunidades empresariales. En este marco, los programas de apoyo a la innovación convocados por el IMPIVA en 2007 se han estructurado en torno a cuatro ámbitos principales: - - Medidas previstas en los planes sectoriales de competitividad elaborados en colaboración con asociaciones empresariales. Apoyo a proyectos empresariales en el ámbito de la investigación, el desarrollo tecnológico y la creación de empresas de base tecnológica. Actuaciones a través de los Institutos Tecnológicos y los Centros Europeos de Empresas Innovadoras de la Red IMPIVA apoyando la prestación de servicios tecnológicos orientados a las PYMES. Fomento de la innovación empresarial en aspectos organizativos y de gestión y apoyo a la puesta en marcha de iniciativas empresariales innovadoras a través de los Centros Europeos de Empresas e Innovación (CEEI) de la Red IMPIVA. - 501 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 4. COMENTARIOS SOBRE LOS ASPECTOS MÁS IMPORTANTES DE LA FISCALIZACIÓN EFECTUADA 4.1 Aspectos generales Como resultado del trabajo efectuado en la revisión de la adecuada formalización y presentación de las cuentas anuales, no hemos observado ninguna incidencia significativa. 4.2 Balance y cuenta de pérdidas y ganancias El balance del Instituto a 31 de diciembre de 2007, junto con los datos correspondientes al ejercicio anterior, se muestran a continuación en euros: ACTIVO Inmovilizado Inmovilizaciones inmateriales Inmovilizaciones materiales Inmovilizaciones financieras Activo circulante Deudores Inversiones financieras temporales Tesorería Total activo 31-12-2007 32.960.438 2.405.166 30.460.699 94.573 102.103.488 33.100.738 20.283.835 48.718.915 135.063.925 PASIVO 21-12-2007 Fondos propios 668.246 Patrimonio propio 668.246 Aportaciones G.V. comp. pérdidas 108.211.327 Pérdidas y ganancias (108.211.327) Ingresos a distribuir en varios ejerc. 32.258.481 Provisiones para riesgos y gastos 188.194 Acreedores a largo plazo 33.710 Acreedores a corto plazo 101.915.294 Total pasivo 135.063.925 31-12-2006 33.559.794 2.463.544 31.012.554 83.696 79.702.007 46.537.545 2.322 33.162.140 113.261.801 Variación (1,8%) (2,4%) (1,8%) 13,0% 28,1% (28,9%) 46,9% 19,2% 31-12-2006 668.246 668.246 92.773.688 (92.773.688) 32.880.736 283.235 20.201 79.409.383 113.261.801 Variación 16,6% 16,6% (1,9%) (33,6%) 66,9% 28,3% 19,2% Cuadro 1 La variación más significativa se ha producido en la cuenta de “Inversiones financieras temporales” debido a la colocación de una punta de tesorería a fin de año de 20.160.578 euros en bonos de tesorería de la Caja de Ahorros del Mediterráneo. - 502 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana La cuenta de pérdidas y ganancias del ejercicio 2007, junto con las cifras correspondientes al ejercicio anterior, se muestra a continuación, en euros: GASTOS Subvenciones concedidas Gastos de personal Dotaciones para amortiz. del inmovilizado Otros gastos de explotación Beneficios de explotación Gastos financieros Resultados financieros positivos Beneficios de las actividades ordinarias Pérdidas del inmovilizado Gastos extraordinarios Gastos y pérdidas de ejercicios anteriores Resultados extraordinarios positivos 2007 103.885.980 4.518.132 1.095.001 3.863.186 478 2.042.587 344 12.020 98.990 1.022.395 Resultado del ejercicio (beneficios) - 2006 Variación 87.411.307 18,8% 4.375.707 3,3% 1.093.951 0,1% 3.088.155 25,1% 394 21,3% 539.568 278,6% 7.926 (95,7%) 1.442 733,6% 143.990 (31,3%) 953.105 7,3% - - INGRESOS 2007 Subvenciones recibidas 470.512 Ingresos por ventas y prestación de servicios 286.936 Otros ingresos de explotación 1.328.540 Pérdidas de explotación 111.276.310 Ingresos financieros 2.043.065 Resultados financieros negativos Pérdidas actividades ordinarias 109.233.722 Beneficios del inmovilizado Subvenciones de capital transf. al resultado 1.087.545 Ingresos y beneficios de ejercicios 26.384 anteriores Patrim. de afectación trasp. a resultados 19.820 Resultados extraordinarios negativos Pérdidas antes de impuestos 108.211.327 - - 19.820 92.773.688 0,0% 16,6% Resultado del ejercicio (pérdidas) 92.773.688 16,6% 108.211.327 2006 Variación 484.492 (2,9%) 96.255 198,1% 1.122.012 18,4% 94.266.361 18,0% 539.962 278,4% 93.726.793 16,5% 2.155 1.084.488 0,3% Cuadro 2 Los gastos en concepto de subvenciones concedidas son los más relevantes, dada la actividad de la Entidad, y se incrementaron en 2007 un 18,8% respecto al ejercicio anterior. En el apartado siguiente se comentan los resultados de la revisión efectuada sobre esos gastos. - 503 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 4.3 Subvenciones concedidas Las “Subvenciones concedidas” representan el 92,1% de los gastos del ejercicio 2007. El desglose de estos gastos por programas es el que se detalla a continuación, en euros: Programas Importe Ayudas I+D a IITT 23.350.285 22,5% Investigación y desarrollo tecnológico (PYME Y GE) 19.861.312 19,1% Plan de Competitividad y consolidación de la PYME 19.207.325 18,5% Innovación 18.828.981 18,1% Fomento de la innovación (IITT) 7.300.981 7,0% Asistencia al emprendedor (CEEI) 3.279.381 3,2% Promoción del diseño 3.049.972 2,9% Formación para la especialización profesional (IITT) 1.843.738 1,8% Expande 1.563.581 1,5% Generación de soluciones de tecnología avanzada 1.553.081 1,5% Centros de reflexión estratégica de opor. de innovación 1.114.484 1,1% Alta especialización en tecnologías industriales (IITT) 992.094 1,0% Creación de empresas de base tecnológica 775.318 0,7% Formación para la competitividad 510.431 0,5% Infraestructuras (IITT) 400.000 0,4% Interreg IIIC (OMR-Tourisme, Ruisnet y Neac) 255.016 0,2% Total general 103.885.980 100,0% Pagado 20.739.103 7.902.257 8.903.790 7.047.596 7.415.000 1.500.000 40.845 619.487 350.264 41.740 206.400 6.296 163.013 400.000 220.360 55.556.150 Cuadro 3 El programa con mayor dotación presupuestaria en 2007 fue el de “Ayudas de I+D a institutos tecnológicos”. Las obligaciones reconocidas con cargo a este programa ascendieron a 23.350.285 euros, un 22,5% del total de obligaciones reconocidas de transferencias corrientes y de capital del IMPIVA en 2007. La ejecución del programa de “Ayudas I+D a institutos tecnológicos” ha sido del 90,9% del presupuesto definitivo, con un grado de pago del 88,8%. En la tramitación y publicación de la convocatoria de las ayudas se ha observado que: - El artículo 11 de la Resolución de 29 de diciembre de 2006 del presidente del IMPIVA por la que se convocan las ayudas, establece que a los integrantes de la comisión que aplica los criterios de valoración los nombra el director del IMPIVA. La composición detallada de la comisión debería establecerse en la convocatoria, de acuerdo con el artículo 22 de la Ley 38/2003, General de Subvenciones. - No se fija en la convocatoria el plazo de justificación de la subvención, aunque posteriormente se establece en la comunicación de resolución de concesión. Este plazo debería concretarse en la convocatoria, de acuerdo con el artículo 47.11 e) del - 504 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana Texto Refundido de la Ley de Hacienda Pública de la Generalitat. - La resolución de concesión no identifica inequívocamente los importes individualizados concedidos, que figuran en un anexo sin autentificar. Como mejora en los procedimientos de control interno, se recomienda que la resolución de concesión de ayudas identifique inequívocamente los importes individualizados concedidos, autorizando con la firma o autentificando de alguna forma la relación de subvenciones a que se hace referencia en la misma, en tanto las autorizaciones no se realicen mediante procedimientos informáticos y/o telemáticos. Hemos revisado una muestra de expedientes del programa de “Ayudas I+D a institutos tecnológicos”, comprobando que su tramitación, justificación y contabilización ha sido la adecuada. Como se ha destacado anteriormente, el gasto por subvenciones concedidas del IMPIVA, en razón de la actividad que desarrolla, constituye un porcentaje muy elevado del gasto de la Entidad. El volumen de recursos dedicados a fomentar la innovación y la tecnología en el tejido empresarial valenciano es muy importante. En consecuencia, la Sindicatura analiza de forma recurrente y en profundidad estos programas de subvenciones. En 2006 se llevó a cabo una auditoría operativa que ponía especial énfasis en la consecución de objetivos de las actividades programadas por el IMPIVA, analizándose la economía, eficiencia y eficacia en la gestión de los programas de “Investigación y desarrollo tecnológico” y el de “Alta especialización en tecnologías industriales, poniéndose de manifiesto una serie de conclusiones y recomendaciones relacionadas con: a) los recursos materiales y humanos asignados a los programas, b) volumen de gestión, objetivos e indicadores, c) análisis de los procedimientos, documentación y plazos de los expedientes tramitados. Teniendo en cuenta que el beneficio del trabajo de fiscalización no está en las recomendaciones efectuadas, sino en su aplicación eficaz, adquiere gran importancia la realización de un seguimiento posterior de las medidas adoptadas para corregir las deficiencias detectadas. Por este motivo, en la presente fiscalización se ha efectuado el seguimiento de las recomendaciones efectuadas en el informe de auditoría operativa de las subvenciones de 2006, habiéndose comprobado que muchas de las recomendaciones efectuadas han sido llevadas a la práctica por el IMPIVA. En el apartado 6 de este informe se detalla la situación de dichas recomendaciones. Asimismo, la relevancia que el soporte de las tecnologías de la información tiene para una gestión eficiente de los recursos humanos y económicos ha aconsejado realizar en 2007 un análisis de los sistemas y aplicaciones informáticas que utiliza el IMPIVA para la gestión de los expedientes de subvención y los controles de los procesos, manuales e informáticos, aplicados en el tratamiento de los expedientes para reducir riesgos de errores e irregularidades, siendo éste el principal objetivo de la fiscalización, cuyo resultado se muestra en el apartado 5 de este informe. - 505 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 5. AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN 5.1 Introducción Los servicios de gestión de ayudas y tramitación de expedientes de subvención son de especial relevancia dentro de la actividad del IMPIVA y por tanto las aplicaciones y sistemas de información que los soportan adquieren una especial importancia y cada vez son más críticos, requieren una mayor disponibilidad y aumentan los requisitos de confidencialidad e integridad para los datos transmitidos; deben dotarse de unos requisitos de seguridad adecuados, acordes con la información que circula por estos sistemas y redes, minimizando los riesgos soportados hasta el nivel que la Entidad considere asumible. Con el presente trabajo se va a analizar el nivel de seguridad de los sistemas de información del IMPIVA haciendo especial énfasis en las aplicaciones principales que soportan el flujo de tramitación de las ayudas, denominadas ‘Gustavo’ y ‘Ulises’. Asimismo se va a analizar la seguridad de los sistemas de información y, si procede, se recomendarán medidas correctoras a las posibles deficiencias encontradas. En síntesis, el alcance de la presente revisión ha comprendido el análisis de los sistemas de información del IMPIVA que soportan los servicios de tramitación de expedientes de subvención desde la recepción de la solicitud hasta el pago de la ayuda. La auditoria se ha centrado especialmente en las aplicaciones sobre las cuales se lleva a cabo la tramitación de los expedientes de subvenciones (“Gustavo” y “Ulises”). Mediante el seguimiento del flujo de información que genera la gestión a través de las aplicaciones, se han evaluado los riesgos principales en cada fase de tramitación y se han analizado los controles automáticos embebidos en las aplicaciones para mitigar los riesgos existentes. El objetivo ha sido determinar el nivel de control de dichas aplicaciones para garantizar la correcta tramitación de los expedientes, mitigando el riesgo de errores e irregularidades y garantizando la integridad y confidencialidad de la información. Por otro lado, puesto que dichas aplicaciones están soportadas por los sistemas informáticos generales del IMPIVA, la auditoría asimismo ha comprendido el análisis de los controles generales del entorno de tecnologías de información (TI) de la Entidad: - 506 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana Cambios a Programa, Acceso Lógico y Operaciones de TI. Es un requisito fundamental para poder confiar en el nivel de control de las aplicaciones, que los controles generales del entorno de TI de la Entidad sean efectivos y por tanto que garanticen el buen funcionamiento de aquéllas. En caso contrario, no se podría confiar en ellos. El diseño, implantación y buen funcionamiento de todos estos controles en los sistemas de información es una responsabilidad que corresponde a los órganos de dirección de la Entidad. Dadas las limitaciones inherentes a cualquier control interno y, en concreto, de los controles que la organización del área de sistemas del IMPIVA tiene implantados, pueden existir hechos motivados por errores o irregularidades que no hayan sido detectados en la revisión efectuada. La realización de las pruebas que se han considerado necesarias en el ámbito de los sistemas de información del IMPIVA ha puesto de manifiesto que el ambiente de control existente sobre los sistemas de información y sus procesos de gestión, aporta un nivel de confianza razonable sobre el proceso de generación de la información financiera dentro de los ciclos de negocio, garantiza la integridad, disponibilidad y confidencialidad de la información. No obstante, también se han puesto de manifiesto áreas de mejora y se han efectuado recomendaciones cuya implantación contribuiría a incrementar el ambiente de control y reducir la probabilidad y el riesgo de existencia de errores e irregularidades. Estas áreas de mejora y recomendaciones han sido comunicadas íntegramente y en detalle a los órganos directivos de la Entidad. Se les ha comunicado tanto las fortalezas como los aspectos de mejora y una propuesta de plan de acciones correctoras relativas a los controles generales de los sistemas de información y a las aplicaciones “Gustavo” y “Ulises”, con indicadores (de impacto, de coste y de estado) para establecer prioridades en la implantación de las mencionadas acciones correctoras. En los apartados siguientes se señalan, de forma resumida, las áreas susceptibles de mejora más relevantes. 5.2 Área de controles generales de los sistemas de información En el ámbito de los controles generales de los sistemas de información (SI) se detallan sucintamente aquellos aspectos o áreas de mejora más relevantes: a) Debe aprobarse, desde el máximo nivel de dirección de la Entidad las políticas generales y normativa de seguridad respecto a los SI que permitan sustentar todo el ambiente de control de los SI de la Entidad. b) Debe elaborarse y aprobarse formalmente, un plan de continuidad de negocio de la Entidad que comprenda el plan de recuperación de desastres sobre los SI. - 507 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana c) Parte de la configuración de seguridad de los sistemas y bases de datos no cumple con los estándares generalmente aceptados de buen gobierno de los sistemas de información (Cobit, normas ISO, ...) d) Debe asignarse formalmente los roles y responsabilidades en materia de seguridad de la información. e) Deben formalizarse y aprobarse los procedimientos de gestión de usuarios autorizados de los SI. f) Debe elaborarse un procedimiento de gestión de cambio y modificación de programas informáticos formalizado, documentado y homogéneo que defina claramente el flujo de autorizaciones a seguir, funciones y responsabilidades en cada una de sus fases y que contemple una adecuada segregación de funciones. g) La Entidad debe adaptarse a todas las previsiones de la Ley Orgánica de Protección de Datos (LOPD). Esto incluye la elaboración de un Documento de Seguridad y la realización de una auditoria bienal de cumplimiento obligatorio para ficheros de nivel medio y alto. De acuerdo con la información facilitada la entidad está realizando los trámites oportunos para adecuarse a esa normativa. h) Se recomienda aprobar una política de formación-concienciación plurianual sobre la seguridad en la utilización de los sistemas de información que contemple las acciones a realizar cada ejercicio. 5.3 Área de controles sobre ciclos de negocio y aplicaciones informáticas El proceso de gestión de ayudas y tramitación de expedientes de subvención se realiza de forma íntegra a través de las aplicaciones informáticas denominadas ‘Gustavo’ y ‘Ulises’. El flujo de tramitación de las ayudas consta de diferentes subprocesos: - Fase de Inicio - Fase de Instrucción - Fase de Finalización - Fase de Pago o Subcircuito de Pago o Subcircuito de Incidencias Cada uno de estos subprocesos consta a su vez de diferentes estados de tramitación dentro de las aplicaciones. La auditoría de los sistemas de información ha sido llevada a cabo sobre los cuatro subprocesos principales (Inicio, Instrucción, Finalización y Pago) incluyendo sus - 508 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana diferentes estados de tramitación. Dentro de la Fase de Pago el trabajo se ha centrado únicamente en el Subcircuito de Pago. No se ha realizado sin embargo el análisis del Subcircuito de Incidencias, que comprende entre otros la tramitación de las minoraciones, incremento y renuncia a las ayudas. Para el desarrollo de la auditoría se ha realizado el seguimiento de la tramitación de un expediente del Programa de I+D dentro del ‘Departamento de Centros de Innovación y Tecnología’ desde su recepción y registro hasta el pago de la ayuda. Durante el seguimiento se ha ido identificando los riesgos principales presentes en cada una de las fases y se ha identificado asimismo los controles que mitigan dichos riegos. Se ha hecho especial hincapié en los controles automáticos definidos en las aplicaciones al ser los sistemas de información del IMPIVA el objetivo principal de la fiscalización. En el ámbito de los controles sobre ciclos de negocio y de las aplicaciones informáticas ‘Gustavo’ y ‘Ulises’ se han detectado las siguientes áreas de mejora: a) La definición de perfiles de usuarios es mejorable. Las capacidades de cada usuario en el sistema deben restringirse a las exclusivamente necesarias para realizar las funciones que tiene asignadas. b) La asignación de funciones y capacidades en los sistemas de información debe de contemplar un adecuado nivel de segregación de funciones. - 509 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana 6. RECOMENDACIONES Como resultado del trabajo de fiscalización, procede efectuar las recomendaciones que se señalan a continuación, destacando previamente las recomendaciones de informes de años anteriores que han sido atendidas por la Entidad. Cabe destacar que la Entidad, mediante escrito a esta Sindicatura de Comptes de 20 de mayo de 2008, ha trasladado las medidas adoptadas al objeto de atender las incidencias señaladas en el Informe del ejercicio anterior. a) Durante el ejercicio se han atendido las siguientes recomendaciones, realizadas en informes anteriores: a.1) La documentación que actualmente contienen los expedientes de personal debería completarse en lo que se refiere a la situación personal, académica y laboral de los trabajadores. a.2) Los procesos selectivos del personal temporal deben atender al criterio de publicidad y a todos los aspectos que señala el II Convenio colectivo del personal laboral al servicio de la Administración Autonómica. a.3) Asimismo los procesos selectivos para cubrir de forma definitiva las plazas vacantes se deben efectuar con una periodicidad razonable. a.4) Debe difundirse adecuadamente, tanto entre el personal que gestiona los programas como el que colabora ocasionalmente, el conocimiento de los manuales de procedimientos que describen las actuaciones a seguir en cada caso. a.5) Igualmente, debe potenciarse entre todos los empleados del Instituto su asistencia a los cursos de formación continuada lo que contribuirá a la actualización profesional y mejorará la calidad del trabajo realizado. a.6) El seguimiento efectivo de la adecuada aplicación de los fondos a la finalidad prevista es una parte fundamental del procedimiento de gestión de las ayudas que los técnicos del IMPIVA deben efectuar con regularidad. a.7) Debe dejarse adecuada constancia en el expediente de la existencia o concurrencia de la ayuda solicitada con otras de carácter autonómico, estatal o europeo y evitar así posibles duplicidades o que con los recursos públicos se financien proyectos por cuantía superior a su coste. a.8) Los informes técnicos realizados para evaluar los proyectos presentados en la solicitud de ayuda, deben identificar la persona que los realiza. Adicionalmente cuando ésta no pertenece al IMPIVA, debe dejarse constancia en el expediente de la revisión de dichos informes por los técnicos del Instituto. - 510 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana a.9) El IMPIVA, como administrador y gestor de recursos públicos, autonómicos, estatales y europeos, debe velar por el adecuado cumplimiento de la normativa reguladora de la gestión y concesión de los mismos promoviendo y financiando aquellos proyectos que se ajusten a los objetivos previstos en los programas. b) Se considera oportuno mantener las siguientes recomendaciones propuestas en informes de ejercicios anteriores: b.1) Se recomienda la implantación en el Instituto de una contabilidad de costes que permita identificar o estimar todos los costes imputables a la gestión de cada uno de los programas o actividades que gestiona. b.2) Recomendamos que la presupuestación de las cuantías que financian las ayudas concedidas se realice con mayor rigurosidad con el fin de evitar el elevado volumen de modificaciones presupuestarias que se ha producido. Adicionalmente, la presupuestación debe realizarse siguiendo las directrices previstas en el Programa Operativo Integrado de la Comunitat Valenciana y el Plan Valenciano de Investigación Científica, Desarrollo Tecnológico e Innovación 2001-2006 en los que se enmarcan los programas de ayudas analizados. Al respecto, el Instituto señala que el importe y composición del presupuesto del IMPIVA destinado a ayudas viene dado por las líneas presupuestarias aprobadas en el presupuesto de la Generalitat, y su distribución interna por programas a principio de ejercicio es una previsión que se va adecuando a las necesidades que van surgiendo durante el año. Adicionalmente, se producen otras modificaciones, ya que el presupuesto debe reflejar todas las generaciones y ampliaciones que se van produciendo a lo largo del ejercicio. b.3) Recomendamos que los objetivos básicos de los programas y las líneas de actuación previstas para alcanzarlos que se definen en los presupuestos, se cuantifiquen adecuadamente y detallen los criterios e indicadores que servirán para medir el cumplimiento de los objetivos, con el fin de poder efectuar el seguimiento de los avances experimentados en la consecución de los mismos. b.4) Recomendamos que, en la medida de lo posible, las ayudas del programa I+D se dirijan, básicamente, a promover y financiar proyectos de investigación y desarrollo entre las pequeñas y medianas empresas, mayoritarias en la composición de nuestro tejido productivo, con el fin de incrementar la competitividad de las mismas. En todo caso, las dotaciones previstas para ello no deben verse mermadas por la introducción de nuevas líneas dirigidas a financiar a otros sectores. - 511 - Instituto de la Pequeña y Mediana Industria de la Generalitat Valenciana b.5) La imputación al presupuesto de documentos contables debe realizarse una vez se hayan dictado los actos administrativos correspondientes. b.6) Por otra parte, recomendamos que se estudien las sugerencias recibidas de los perceptores de ayudas en relación con la preferencia por un incremento de los porcentajes de ayuda. En este sentido, la gestión de un menor número de proyectos derivada del incremento de los porcentajes de ayuda permitiría un mejor control por parte de la administración y una mayor satisfacción de los solicitantes. b.7) Es necesario recomendar que la Entidad adopte las medidas oportunas tendentes a la aprobación de la correspondiente Relación de Puestos de Trabajo que incluya, además de la adscripción orgánica y clasificación retributiva, la definición de las funciones, competencias y responsabilidades de cada puesto de trabajo. c) Las siguientes son recomendaciones sobre otros aspectos que se han puesto de manifiesto en la fiscalización del ejercicio: c.1) En el apartado 4.3 se señalan varios defectos en el procedimiento de tramitación de las subvenciones, que si bien no se consideran incumplimientos significativos de la normativa aplicable, deben ser objeto de atención para subsanar las deficiencias e introducir las mejoras de control interno oportunas. c.2) Se recomienda la implantación, con la debida planificación y las medidas de seguridad apropiadas (entre ellas la firma electrónica), de las autorizaciones o aprobaciones a través de procedimientos informáticos para todos los niveles de responsabilidad implicados en el procedimiento de la tramitación de los expedientes de ayudas. c.3) Respecto de los sistemas de información revisados, en los apartados 5.2 y 5.3 se han señalado las áreas de mejora en las que se debe actuar para minimizar los riesgos relacionados con el procesamiento y gestión de la información. - 512 -